Aanmelden
Keurmerk aanvragen
Contact
Contact opnemen

Hoe werkt SSL precies?

Sinds de introductie van onze security scan krijgen we diverse vragen over de werking van SSL. In dit blog willen we op een begrijpelijke manier uitleggen hoe SSL voor je webwinkel werkt. Daarbij gaan wellicht wat technische details verloren, maar hiermee hopen we het nut van een SSL verbinding duidelijk te maken.

Wanneer je een traditionele brief verstuurt verwacht je dat deze aankomt bij de ontvanger. Het kan echter gebeuren dat iemand in de tussentijd de envelop open maakt en de inhoud leest en vervolgens weer doorstuurt naar de bedoelde ontvanger. Ook kan het gebeuren dat de brief helemaal niet aan komt, maar dat je toch antwoord terug krijgt van deze derde persoon.

Het internet bestaat uit miljarden computers. Al deze computer kunnen met elkaar communiceren. Dit werkt op eenzelfde manier als het versturen van een brief.

Als jij www.webwinkelkeur.nl intypt dan wordt er een digitale brief verzonden via het internet. Je verwacht dan ook dat je bericht bij WebwinkelKeur terecht komt, maar je weet niet zeker of dat ook gebeurt.  Ook kan je digitale brief wel aankomen bij WebwinkelKeur, maar tussendoor toch gelezen zijn door een digitale crimineel. Log je bijvoorbeeld in bij WebwinkelKeur dan kan het zomaar zijn dat de hacker ook jouw wachtwoord leest met alle gevolgen van dien.

Grafische weergave van een "man in the middle attack"

Grafische weergave van een “man in the middle attack”

Dit is te voorkomen middels SSL. Bij een SSL verbinding worden berichten beveiliging verzonden. Versimpeld gezegd stuurt de server jou een doosje met een hangslotje. Je kunt een berichtje in dit doosje stoppen en het op slot doen. Je hebt echter geen sleutel om het doosje open te maken. Dit kan alleen de server. Hoe dat precies werkt gaat te ver om hier uit te leggen. Op de website van Argeweb staat hierover echter een goede begrijpelijk uitleg.

SSL zorgt er dus voor dat verkeer beveiligd verzonden kan worden en niet onderschept kan worden. Maar hoe weet je of het doosje dat je opgestuurd krijgt van de juiste afzender afkomstig is? Wie zegt dat een hacker je geen doosje op stuurt?

Vandaar dat bij SSL geregistreerd wordt welke doosjes van welke website zijn. Dit doet de uitgever van het SSL certificaat. Dat is ook de reden dat je betaalt voor een SSL certificaat. De verstrekker van het SSL certificaat houdt daarvoor een lijst bij met doosjes en wie de doosjes mogen gebruiken. Jouw bezoeker weet zo zeker dat de doosjes die hij opgestuurd krijgt van jou afkomstig zijn en weet zeker dat de informatie die hij verstuurt bij jou aan komt.

Verschillende soorten doosjes

Wat dan het verschil is tussen de verschillende soorten SSL certificaten? Technisch werken ze allemaal hetzelfde. Het verschil zit hem echter in de validatie. Bij de simpelste vorm SSL certificaat wordt er alleen gecontroleerd of het doosje afkomstig is van een bepaalde URL. In dit geval kan een hacker dan nog steeds www.wobwonkelkeur.nl registreren en daar een SSL certificaat voor gebruiken. Bij duurdere SSL certificaten wordt echter ook gecontroleerd welke organisatie “de doosjes” aanvraagt, er wordt dus gecontroleerd of Stichting WebwinkelKeur de eigenaar is van het domein. Bij deze certificaten krijg je dan ook een groene balk met daarbij de naam van de organisatie, terwijl je bij goedkopere certificaten alleen een grijs slotje krijgt.

Een SSL certificaat met en zonder Extended Validation (EV)

Een SSL certificaat met en zonder Extended Validation (EV)

Eigen IP Adres (meestal)noodzakelijk

Gebruik van SSL moet ondersteunt worden door je hoster of webwinkel aanbieder. Om de analogie van de brief en de doosjes weer te gebruiken. Bij goedkopere hosting staan er meerdere webwinkels op 1 adres. Het kan dus zijn dat jij jouw IP adres deelt met 100 andere webwinkels. Als ik een digitale brief wil sturen naar jouw webwinkel, dan schrijf ik als geadresseerde dat gedeelde adres op de digitale envelop. In de brief zet ik vervolgens dat het bericht bedoeld is voor jouw webwinkel.
Gebruik je SSL, dan is de inhoud van de brief pas te lezen als je de sleutel hebt. Omdat alleen jouw webwinkel de sleutel heeft kun je dus geen adres delen. Je bent daarom een eigen IP adres nodig. Veel goedkope hosting partijen of SAAS webwinkel pakketten bieden daarom geen ondersteuning voor een eigen SSL certificaat. Ze delen namelijk vaak een enkel ip adres met meerdere webwinkels. In die gevallen kun je dan dus niet zonder bijbetaling gebruik maken van SSL.
Nu zijn er technieken waarmee een eigen ip adres niet noodzakelijk is, het nadeel is echter dat deze oude besturingssystemen en browser niet ondersteunen. Het gaat dan om combinaties als:

  •  Internet Explorer (elke versie) op Windows XP
  •  Safari op Windows XP
  •  BlackBerry Browser
  •  Windows Mobile tot en met 6.5
  •  Android standaard browser op Android 2.x

We raden je dus altijd aan om te informeren bij je hoster op webwinkel aanbieder in hoever een eigen SSL certificaat installeren mogelijk is. Lees verder over het installeren van SSL op je webwinkel.